Android : Google met fin au support de WebView dans les versions antérieures à KitKat
La sécurité de près d'un milliard de smartphones menacée

Le , par Michael Guilloux

29PARTAGES

4  0 

La sécurité de près d'un milliard de smartphones Android menacée


C'est surement une mauvaise nouvelle pour les utilisateurs d'Android qui exécutent des versions antérieures à Android 4.4 Kitkat et une bonne nouvelle pour les pirates qui auront plus de facilité.

Google a récemment pris la décision d'arrêter le développement de correctifs pour les bogues de WebView dans Android 4.3 Jelly Bean et les versions antérieures. Environ 60% des utilisateurs d'Android seront impactés par cette décision.

WebView permet aux applications d'afficher des pages Web sans avoir à ouvrir une autre application. De nombreuses applications et des réseaux publicitaires utilisent le composant. D'ailleurs, l'équipe Google Android préconise l'outil dans sa documentation pour les développeurs sur le rendu des pages Web.

Toutefois, WebView est aussi le vecteur privilégié pour mener des attaques par exécution de code distant dans le système d'exploitation mobile, selon le directeur de l'ingénierie de Rapid7, Tod Beardsley. Des failles de logiciels ont, à plusieurs reprises, été découvertes dans Android et WebView, rendant le manque de mises à jour encore plus dangereux.

Après avoir reçu un rapport d'une nouvelle vulnérabilité dans le WebView antérieur à 4.4 en octobre 2014, les gestionnaires d'incidents Android de Google ont déclaré que la société va laisser aux développeurs externes la tâche de développer des correctifs de sécurité, d'après Beardsley. « Si la version affectée [de WebView] est avant 4.4, nous ne développons généralement pas les patchs nous-mêmes, mais faisons bon accueil à des correctifs » qui prennent en compte les défauts reportés. « Nous ne sommes pas en mesure de mener des actions pour les défauts qui affectent les versions antérieures à 4.4 qui ne sont pas accompagnées d'un patch. »

Cela suppose que la prochaine fois qu'un chercheur ou un pirate trouvera une vulnérabilité dans WebView sur une version Android antérieure à Kitkat, Google ne va pas, lui-même, créer un patch pour la vulnérabilité. Cependant, si quelqu'un d'autre en développe, Google va intégrer ces correctifs dans le code Android Open Source Project. Google les donnera également aux fabricants de téléphones, mais c'est là que sa responsabilité s'arrête.


Android est open source, ce qui signifie techniquement que n'importe qui pourrait créer des patchs, mais les chances que ces correctifs soient distribués par les fabricants d'appareils comme Samsung sont minces, a ajouté Beardsley. La fin du support pour la plupart des utilisateurs d'Android pourrait donc augmenter le nombre d’attaques par téléchargements cachés sur Android.

Pour le directeur de l’ingénierie de Rapid7, la décision de supprimer le support de WebView pour les versions antérieures à Android Kitkat est suicidaire, mais elle trouve une explication dans les objectifs de Google. « Bien sûr, j'espérais qu’abandonner le support de 60% de votre base d'installation serait suicidaire, cependant nous y sommes », a-t-il dit.

Beardsley a ajouté que l’une des raisons pour lesquelles Google a décidé de ne plus fournir de correctifs de WebView pour Jelly Bean et les versions antérieures est que « la meilleure façon de s'assurer que les appareils Android sont en sécurité est de les mettre à jour à la dernière version d’Android », donc de passer par exemple à Android 5.0 Lollipop qui peine à convaincre. Il soupçonne, par ailleurs, que cette décision ait coïncidé avec la sortie de la dernière version d’Android.

Source : Tod Beardsley

Et vous ?

Que pensez-vous de la décision de Google ? Quelles pourraient en être les raisons ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 13/01/2015 à 23:16
La pluspart des mobiles n'étant de toutes façon jamais mis à jour, je ne vois pas ce que cela va changer pour les utilisateurs. Et les mobiles bénéficiant de mises à jour régulières par le constructeur... sont déjà au moins à 4.4
Avatar de MasterMbg
Modérateur https://www.developpez.com
Le 14/01/2015 à 15:28
Moi je trouve ça une façon de dire aux utilisateurs des téléphones produits par Google de passer à l'achat des nouveaux! Puis que, moi par exemple j'utilise le Galaxy NEXUS. Déjà je me sentais plus dans ma peau quand j'avais appris que Google aurait arrêté de produire des mises à jour du système donc mon phone devrait rester éternellement en version 4.3. Et aujourd'hui, j'apprends qu'il y aura plus jamais de patchs de sécurité pour WebView dans les versions antérieures à Android 4.4 Kitkat. Comme c'est contraignant...
Avatar de Glordim
Membre à l'essai https://www.developpez.com
Le 14/01/2015 à 17:29
C'est a la fois une bonne et une mauvaise nouvelle.

Mauvaise parce qu'évidement il y aura des personnes qui en subiront les conséquences. Sans compter que les constructeurs ne s'embêteront pas à publier des patchs (Ils ont déjà du mal avec les mises à jour majeur, alors les correctifs de sécu qui ne change rien en apparence, n'en parlons pas !).

Mais à la fois une bonne nouvelle car Google fait le choix du progrès. C'est ce que j'aime chez eux, ils ne vont pas s'attarder à faire une éternelle rétrocompatibilité avec des versions totalement obsolète (utilisé par 1% des gens). Evidement dans ce cas il s'agit de 60% des utilisateurs, c'est tout de même osé et audacieux mais c'est vrai que la meilleur façon de se protéger est encore de se mettre à jour.

Bref personnellement je pense que la rétrocompatibilité est un frein au progrès. Les véritables coupables dans cette affaire, ce sont les constructeurs qui à cause de leurs surcouches (rarement utiles et qui n'entrainent que des lag) prennent énormément de temps pour déployer les mises à jour officiels. Et les utilisateurs ne peuvent que subir ou racheter un nouveau modèle.
Avatar de Jonyjack
Membre averti https://www.developpez.com
Le 15/01/2015 à 10:46
Sur XDA on trouve des personnes qui modifient des roms d'autres modèles d'une même série pour avoir les MAJ (exemple : ROM du Note 3 porté sur le Note 2).
Et d'autres qui font le portage de CyanogenMod quand ces derniers ne supportent pas l'appareil.
C'est la meilleur façon de garder nos "vieux" appareils.
Avatar de stailer
Membre chevronné https://www.developpez.com
Le 15/01/2015 à 18:10
Je suis un peu inquiet là :

Qu'en est-il des gens qui développent des applis avec Cordova pour IOS ou Android et qui utilisent justement le composant WebView pour afficher leur appli ?
Il n'y aura plus de support mais ce sera toujours intégré ? Ça continuera de fonctionner ? Ces applis seront davantage atteignables par des pirates ?
Avatar de jipenunux
Candidat au Club https://www.developpez.com
Le 24/01/2015 à 10:07
changez d'OS prenez du libre firefox os par exemple !
jipe
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 24/01/2015 à 11:26
Citation Envoyé par jipenunux Voir le message
changez d'OS prenez du libre firefox os par exemple !
jipe
Hooo, un troll sauvage, c'est rare. D'habitude ils sont tous domptés et étiquetés, mais là c'est un petit nouveau qui viens de naître. Allez, je te laisse comparer ce que tu viens de dire avec le marché.... Indice, le seul téléphone sous firefox OS est une bouse qui ne tiens même pas une journée d'autonomie....
Avatar de jipenunux
Candidat au Club https://www.developpez.com
Le 24/01/2015 à 20:14
Citation Envoyé par tchize
Indice, le seul téléphone sous firefox OS est une bouse qui ne tiens même pas une journée d'autonomie....
bonjour tchize, un p'tit nouveau de 70 ans, qui suit developpez.com depuis pas mal de temps, mais effectivement nouvellement inscrit
bon, c'est sympa de s'entendre appelé comme ça pour firefox os j'en ai un et c'est sur les bases de son utilisation que je disait ça, et pas pour troller.
j'étais sous androide et c'est sympa quand tu vas sur ce lien https://maps.google.com/locationhistory/b/0/ tu retrouves tous tes positionnement date et heure à la centaine de mètres près, super sympa, merci Mr Google (android)
allez bon courage avec des téléphone chicos et chéros, qu'il faut changer tous les deux ans pour pouvoir s'en servir, et qu'on peut pirater sans problème.
libramicalement
jipenunux
Avatar de nicroman
Expert éminent https://www.developpez.com
Le 25/01/2015 à 4:03
j'étais sous android et c'est sympa quand tu vas sur ce lien https://maps.google.com/locationhistory/b/0/ tu retrouves tous tes positionnement date et heure à la centaine de mètres près, super sympa, merci Mr Google (android)

Effectivement ça tient du troll là....
C'est assez normal quand on active l'historique des positions. Sans cet historique, aussi étrange que cela puisse paraître, ... tout disparaît.
Maintenant, c'est aussi grâce à cet historique que google-now permet de savoir (et il se trompe rarement) ou on s'est garé (et comment y aller le plus vite), ou encore proposer des "temps" d'itinéraire vers les lieux que l'ont fréquente le plus souvent.
Bon bref... alors hint: sans même activer d'historique bizarre, ou quoique ce soit, l'opengraph de facebook permet de retracer la position (avec moins de précision il est vrai) dans le temps d'une personne, rien qu'avec ses posts facebook !

Vous ne voulez pas être "suivi" ? désactivez la localisation.
Vous ne voulez pas donner des infos sur vous sur Internet ? Ne postez rien sur internet. Et d'ailleurs, n'y allez même pas !

Après c'est sur Firefox OS est libre... et vide.... comme en plus c'est du HTML5.... (oui là aussi c'est un troll).

Avatar de Michael Guilloux
Chroniqueur Actualités https://www.developpez.com
Le 26/01/2015 à 11:51
Android : Google confirme la fin du support de WebView dans les versions antérieures à KitKat
Il va falloir passer à KitKat ou Lollipop

Google a confirmé son intention de ne plus corriger les vulnérabilités dans WebView pour les versions antérieures à Android 4.4 Kitkat. Cette décision laissant près d'un milliard d'utilisateurs Android à risque, a été confirmée par Adrian Ludwig, de l’équipe de sécurité de Google pour Android, dans un billet Google+ vendredi.

Selon, Ludwig, « maintenir les logiciels à jour est l'un des plus grands défis en matière de sécurité » pour Google. Mais, avec Android Jelly Bean et les versions antérieures, parce que le navigateur est basé sur une version du moteur de navigateur WebKit qui est maintenant âgé de plus de deux ans, la correction de la vulnérabilité WebView va demander beaucoup de changements de code qui peut affecter plus de choses.

« WebKit seul, c’est plus de 5 millions de lignes de code et des centaines de développeurs ajoutent des milliers de nouveaux commits chaque mois, de sorte que dans certains cas, appliquer les correctifs de vulnérabilité à une branche de WebKit ancienne de plus de 2 ans requiert des changements dans des parties importantes du code et il n'était plus pratique de le faire en toute sécurité. » A-t-il écrit.

Cette décision affecte plus de 60% des utilisateurs d'Android, mais selon Adrian, les utilisateurs mettent à niveau leurs dispositifs et la base d'utilisateurs vulnérables diminue chaque jour. Il suggère donc de passer à des versions plus récentes d'Android, à savoir KitKat et Lollipop, pour lesquelles Google travaille pour la livraison de mises à jour de sécurité.

Dans le cas contraire, pour réduire le risque d'exploitation potentielle des vulnérabilités WebKit, il suggère l’utilisation d’un navigateur qui est mis à jour via Google Play, comme Chrome et Firefox, et l'utilisation d'applications qui suivent les meilleures pratiques de sécurité.

En outre, Adrian a suggéré que les développeurs qui ont besoin d'utiliser le composant WebView dans leurs applications devraient l'utiliser seulement pour charger des sites Web sécurisés et de confiance.

Source : Adrian Ludwig via Google+

Et vous ?

Qu’en pensez-vous ?
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web